[erol]

Hab seit einem Monat den lsass.exe virus. Habe schon alles versucht(NAV2004,AntivirXP,Ikarus-Homepage,...) aber ich kriege ihn nicht weg. Der Computer dreht sich immer nach 1min selbstständig ab!
Bitte um hilfe!

Logfile of HijackThis v1.98.2
Scan saved at 13:42:57, on 11.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\AonInformer\informer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\TimeSink\AdGateway\TSAdBot.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Dokumente und Einstellungen\Spike\Desktop\Nove Pjesme\vcleaner.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Spike\Desktop\Nove Pjesme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [jservice] C:\Programme\AonInformer\informer.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TimeSink Ad Client] "C:\Programme\TimeSink\AdGateway\TSAdBot.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsorad...sWebTelecom.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DF023D7-5A2B-45B8-AF7F-1B1B47A01326}: NameServer = 195.3.96.67 195.3.96.68

[BonanzaFraggle]

versucht im abgesicherten Modus zu starten, dann manuell Datei löschen und Einträge in Registry zu löschen?

[Matze]

Die lsass.exe ist eine Systemdatei und kein Virus.
Afaik gibt es keinen lsass.exe Virus. Es gibt aber einen Virus mit lssass.exe.

[hans_maulwurf]

bis auf die komische Startseite ist das doch ok oder?

[Silent-Eye]

Falls das von Interesse ist:

Die lsass.exe ist der "Local Security Authority Subsystem Service" und steuert den Zugriff auf Datein mit verschiedenen Benutzern.

[mordsbraut]

sasser-wurm
Sicherlich haben Sie schon von dem Computer-Wurm gehört, der sich derzeit mit extremer Schnelligkeit verbreitet und bereits viele PCs befallen hat. Es handelt sich hierbei um einen so genannten Wurm, der als W32.Sasser bezeichnet wird. Dieser Wurm verbreitet sich nicht über eMails, sondern befällt PCs ohne aktuelle Firewall-Software, während diese mit dem Internet verbunden sind.

Gefährdet sind PCs mit folgenden Betriebssystemen:
- Windows XP
- Windows 2000
- Windows NT

Anleitung für Nutzer des Betriebssystems Windows XP, falls ein Rechner mit dem W32.Sasser befallen ist:

Schnellhilfe: Herunterfahren stoppen:
- Im Windows-Startmenü 'Ausführen' wählen
- 'shutdown -a' eingeben (Leerzeichen zwischen 'shutdown' und '-'), gefolgt von Eingabetaste

1. Im Systemstart die 'avserve.exe', 'avserve2.exe', 'lsasss.exe', 'napatch.exe' oder die 'skynetave.exe' deaktivieren. Hierzu gehen Sie über 'Start / Ausführen' und tragen dort den Befehl 'msconfig' ein und klicken auf <OK>.
Wechseln Sie hier auf den Reiter 'Systemstart' und suchen die Datei 'avserve.exe', 'avserve2.exe', 'lsasss.exe', 'napatch.exe' bzw. die 'skynetave.exe'. Durch Entfernen des Häkchens deaktivieren Sie diese Datei. Klicken Sie nun auf <Übernehmen> und <OK> und starten Sie den PC neu.


2. Windows XP Security Patch herunterladen
Sie sollten nun sofort das Sicherheitsloch schließen, über das Sasser in das System eindringt. Dazu wird der von Microsoft bereitgestellte Windows XP-Patch heruntergeladen.
Zum Download vom Windows XP Security Patch:
http://www.microsoft.com/germany/ms/techne...tinms04-011.htm

3. Installation Windows XP Security Patch
Jetzt können Sie das heruntergeladene Security Patch ausführen.

Hinweis: Um das Security Patch installieren zu können, müssen Sie unter Windows XP Administrator-Rechte besitzen.


4. W32.Sasser-Removal-Tool herunterladen und ausführen
Um den Schädling vom Computer zu entfernen, bietet Symantec ein Removal Tool (ohne Zusatzkosten) an.

Zum Download des W32.Sasser-Removal-Tools gehen Sie auf folgenden Link:
http://securityrespo...er/FxSasser.exe

Weitere Informationen zum Symantec Removal-Tool erhalten Sie unter:
http://www.symantec.com/region/de/techsupp...moval.tool.html

Hinweis:
Um das Removal-Tool installieren zu können, müssen Sie unter Windows XP Administrator-Rechte besitzen. Bringt das W32.Sasser-Removal-Tool auch dann eine Fehlermeldung, gehen Sie wie folgt vor:

Beenden Sie alle offenen Programme.

Starten Sie Windows XP im abgesichertem Modus indem Sie zunächst auf 'Start' und dann auf 'Ausführen...' klicken. Geben Sie in das 'Öffnen' -Feld 'msconfig' ein und bestätigen Sie dann mit 'OK'. Es öffnet sich das Fenster 'Systemkonfigurationsprogramm'. Wählen Sie dort den Reiter 'BOOT.INI'. Aktivieren Sie im Reiter 'BOOT.INI' die Option '/SAFEBOOT'. Bestätigen Sie die Änderung mit 'OK'. Klicken Sie im Auswahlfenster die Option 'Neu Starten' an. Der Rechner wird daraufhin im gesicherten Modus neu gestartet.

Deaktivieren Sie die Systemwiederherstellung indem Sie zunächst auf 'Start' klicken und unter 'Einstellungen' den Menüpunkt 'Systemsteuerung' wählen. Es erscheint das Fenster 'Systemsteuerung'. Doppelklicken Sie auf das Icon 'System'. Wählen Sie im Fenster 'Systemeigenschaften' den Reiter 'Systemwiederherstellung'. Setzen Sie einen Haken bei der Option 'Systemwiederherstellung auf allen
Laufwerken deaktivieren'.

Starten Sie nun das W32.Sasser-Removal-Tool.

Starten Sie Windows XP im normalen Modus indem Sie zunächst auf 'Start' und dann auf 'Ausführen...' klicken. Geben Sie in das 'Öffnen'-Feld 'msconfig' ein. Bestätigen Sie dann mit <OK>. Es öffnet sich wieder das Fenster 'Systemkonfigurationsprogramm'. Wählen Sie dort den Reiter 'BOOT.INI'. Deaktivieren Sie im Reiter 'BOOT.INI' die Option '/SAFEBOOT'. Bestätigen Sie die Änderung mit <OK>.

Im letzten Schritt müssen Sie die Systemherstellung wieder aktivieren indem Sie zunächst auf 'Start' klicken und unter 'Einstellungen' den Menüpunkt 'Systemsteuerung' wählen. Es erscheint das Fenster 'Systemsteuerung'. Doppelklicken Sie auf das Icon 'System'. Wählen Sie im Fenster 'Systemeigenschaften' den Reiter 'Systemwiederherstellung'. Deaktivieren Sie die Option 'Systemwiederherstellung auf allen Laufwerken deaktivieren'.


5. Manuelles entfernen von W.32 Sasser
Punkt 5a - 5c nur ausführen wenn Punkt 4 nicht möglich ist!!

5a.)
PC im abgesicherten Modus starten:
Dazu die F8 Taste beim Anschalten des PCs so lange gedrückt halten, bis eine Auswahl erscheint. Hier mit den Pfeiltasten den 'abgesicherten Modus' als Startoption auswählen (nicht mit Netzwerktreibern oder mit Eingabeaufforderung).

5b.)
Die installierten Dateien des Wurms löschen:
a) Suchen Sie im Windows-Verzeichnis (bei den meisten PCs ist dies C:\Windows) alle Dateien die den Namen avserve*.exe ', 'avserve2.exe', 'lsasss.exe', 'napatch.exe' oder skynetav*.exe beinhalten. Wechseln Sie dazu in das Windowsverzeichnis und suchen Sie dazu mit dem Windows Dateiexplorer nach Dateien mit dem Namen avserve*.exe ', 'lsasss.exe', 'napatch.exe' und skynetav*.exe die gefundenen Dateien bitte löschen.
b) Wechseln Sie in das Windows Unterverzeichnis 'system32' (bei den meisten PCs ist dies C:\Windows\system32). Suchen Sie mit dem Windows Dateiexplorer nach allen Dateien mit der Endung '*_up.exe' und löschen Sie alle. Der 'Stern' steht für beliebige Ziffern (z.B. 4711_up.exe). Suchen sie diese ebenfalls im Verzeichnis C:\Dokumente und Einstellungen\BENUTZERNAME \Lokale Einstellungen\Tmp\

Hinweis:
Werden nicht alle Ordner angezeigt, aktivieren Sie bitte unter 'Extras / Ordneroptionen / Ansicht / versteckte Dateien und Ordner' die Option 'Alle Dateien und Ordner anzeigen'.

5c.)
Den Wurm deaktivieren:
Klicken Sie auf Start, dann auf 'Ausführen' und geben Sie den Befehl 'regedit' ein, danach klicken Sie auf <OK>.
Im Registrierungseditor müssen Sie folgenden Pfad öffnen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Run
Dazu öffnen Sie, ähnlich wie im Dateiexplorer, die jeweiligen Ebenen (bei HKEY_LOCAL_MACHINE mit Klick auf plus die Ebene Software öffnen usw.)
Im Verzeichnis 'Run'alle Einträge, die 'avserve*.exe', skynetav.exe bzw. die Endung '_up.exe' beinhalten löschen.
Achtung: Nur die oben genannten Einträge löschen, das Löschen anderer Einträge kann das Windows System beschädigen!

Bitte starten Sie nun das System neu und fahren Sie mit Punkt 3 fort.



Mfg
mordsbraut

[Matze]

Bei dem ungepatchen System könnte es durchaus der Sasser-Wurm sein.

"Hab seit einem Monat den lsass.exe virus."
Die Beschreibung ist aber auch ziemlich verwirrend.

[Franz1299]

Um das herunterfahren zu stoppen, Start->Ausführen->"shoutdown -a"[ENTER]